Elektrooniline digitaalallkiri on uus samm dokumentide tuvastamisel ja kontrollimisel. Mis ta on? Mis põhimõttel see töötab? Kas digitaalallkirja andmine on keeruline või mitte? Kas sellega saavad hakkama ainult pensionärid või saavad hakkama pensionärid?

Üldine informatsioon

Esiteks mõistame terminoloogiat. Mis on EDS? See on spetsiaalne fail, mida kasutatakse dokumentide pädevuse kinnitamiseks teatud isikute poolt. Tuleb märkida, et elektroonilisi digitaalallkirju on kahte tüüpi – kvalifitseerimata/kvalifitseeritud. Esimesel juhul saate elektroonilise allkirja hankida kodus. Selleks piisab spetsiaalsete krüptoprogrammide kasutamisest. Koduste õmblusdetailide abil saate kontrollida dokumentide ja sõnumite autentsust sõprade seas või väikeses ettevõttes.

Kvalifitseeritud digitaalallkirjad on failid, mille loovad erinevad organisatsioonid, kellel on selleks vajalik litsents. Nende kõige olulisem omadus on juriidiline jõud. Jah, nende jaoks on olemas õigusraamistikku, mis võimaldab neid elektroonilisi digitaalallkirju kasutada valitsus- ja äristruktuurides. Lisaks saate tänu neile kasutada riigiteenuseid eemalt. Digiallkiri on järjekordade puudumise, vastuste kiire ja kiire laekumise ning inimnäoga oleku võti.

Räägime mõne sõna sertifikaatidest

Mis need on? Elektroonilise digitaalallkirja sertifikaat on sertifitseerimiskeskuse poolt omanikule väljastatud dokument, mis kinnitab isiku autentsust. Allkirjavõtme genereerimisel andmed isiku või juriidilise isiku on päästetud. Sisuliselt on EDS-sertifikaat midagi elektroonilise passi sarnast.

Neid kasutades saab elektroonilisi dokumente vahetada ainult kehtiva allkirja korral. Mis perioodiks see välja antakse? Reeglina luuakse see aastaks või kaheks. Pärast kehtivusaja lõppu saab sertifikaati uuendada. Tuleb märkida, et kui võtmeomaniku andmed muutuvad, näiteks muutub nimi, organisatsiooni juht vms, tuleks toimik tagasi kutsuda ja väljastada uus.

Registreerimine ja uuendamine

Elektroonilise digitaalallkirja saamiseks peate täitma spetsiaalse vormi, mis näitab postiaadress ja palju muud teavet. Tuleb märkida, et sertifikaat võib sisaldada peaaegu igasugust teavet. Kuid aastase või kahe kehtivusaja piirangu tõttu tuleb neid pidevalt uuendada. Miks?

Fakt on see, et sertifikaadis sisalduval teabel on teatud kasulik kehtivusaeg. Seega, mida rohkem andmeid faili sisestatakse, seda kiiremini see kehtetuks muutub. Seetõttu kehtestati selline kehtivusaja piirang.

Samal ajal peate teadma, et kogu allkirjastamissertifikaadis sisalduv teave muutub avalikult kättesaadavaks. Seetõttu on soovitatav lisada võimalikult vähe andmeid. Elektroonilise allkirja saamine eeldab ka andmekandja olemasolu, kuhu allkiri salvestatakse. Reeglina kasutatakse selles rollis välkmäluseadmeid. Kui teil on vaja oma elektroonilist digiallkirja uuendada, tuleb pöörduda vastava asutuse poole.

Kes saab EDS-i väljastada?

Elektroonilistele dokumentidele saate alla kirjutada ka omatehtud toodetega. Kuid selleks, et neil oleks juriidiline jõud, peate võtma ühendust vastava akrediteeringuga asutustega. Kõige populaarsem on teenuste kasutamine maksuteenus. Niisiis, sisse Venemaa Föderatsioon Enamasti pöörduvad nad elektroonilise allkirja saamiseks föderaalse maksuteenistuse poole. Selle põhjuseks on nii nende üldine aktsepteerimine, lai kasutusala kui ka asjaolu, et nad annavad allkirju tasuta.

Kui võtate ühendust teiste struktuuridega, isegi valitsusasutustega, peate maksma mitusada või isegi tuhandeid rubla. Ja arvestades asjaolu, et elektroonilise digitaalallkirja saamist korratakse iga aasta või kahe aasta tagant, pole üllatav, et paljud teevad oma valiku föderaalse maksuteenistuse kasuks. Muide, kui soovite oma elektroonilist digiallkirja kehtetuks tunnistada, siis selleks tuleb pöörduda vastava avaldusega selle väljastanud organisatsiooni poole. Millal võib seda vaja minna? Siin on väike nimekiri kõige populaarsematest põhjustest:

1. Organisatsiooni üksikasjad on muutunud.
2. Volitatud isik (allkirja omanik) muutis oma staatust: astus tagasi, edutati, viidi üle teisele ametikohale.
3. Meedia, kus võtit hoiti, oli katki ja seda ei saa enam kasutada.
4. Allkiri on rikutud.

Mis tüüpi võtmeid on olemas?

Seega teame juba, et digiallkiri on hea. Kuidas aga kontrollitakse faili autentsust? Selleks genereeritakse kaks klahvi (teatud märgijada). Seega on olemas:

1. Privaatne (isiklik, salajane) võti. See on ainulaadne sümbolite jada, mis osaleb allkirja moodustamisel. See on saadaval ainult selle omanikule ja on teada ainult temale.
2. Avalik võti. Krüptograafiline tööriist, mis on kõigile kättesaadav. Kasutatakse digitaalallkirja autentsuse kontrollimiseks.

Kuidas rakendada dokumendile elektroonilist digiallkirja?

Ja nüüd peamise juurde. Kuidas allkirjastada nõutav dokument digiallkirjaga? Selleks vajate spetsiaalset programmi, mis käivitab vajaliku faili, lisades sellesse elektroonilise digitaalallkirja. Kui dokumenti mingil viisil muudetakse, siis digitaalallkiri kustutatakse.

Näitena vaatame krüptoprogrammide rida CryptoPro. Seda saab kasutada nii elektroonilise digitaalallkirja dokumendi loomiseks kui ka allkirjastamiseks. Tänu sellele toimub krüptograafiaga kaitstud failide arendamine, tootmine, levitamine ja hooldus.

Kuhu digiallkirja salvestada?

Sel eesmärgil saate kasutada (töökindluse suurenedes) arvuti kõvaketast, DVD-d, tavalist välkmälu või märgi. Kuid sellistel juhtudel võib tekkida olukord, kus keegi teine ​​saab elektroonilisele juurdepääsu digitaalne allkiri ja kasutage seda kahju tekitamiseks.

Kõige tavalisem on kasutada mälupulka. Tänu väikesele suurusele saate seda hõlpsalt kaasas kanda ja kasutamine ei võta palju aega. Turvalisem, kuid vähem populaarne salvestusmeetod on märk. Nii nimetatakse miniatuurset seadet, millel on riist- ja tarkvarakomplekt, mis tagab, et teave ei satuks valedesse kätesse.

Tokenit saab kasutada ka andmetele turvalise kaugjuurdepääsu saamiseks ja elektroonilise kirjavahetuse kaitsmiseks uudishimulike pilkude eest. Väliselt meenutab see tavalist mälupulka. Selle funktsiooniks on kaitstud mälu olemasolu, nii et kolmas osapool ei saa märgist teavet lugeda. See seade suudab lahendada mitmesuguseid turvaprobleeme autentimise ja krüptograafia valdkonnas.

Lõpuks

Tänapäeval kasutatakse dokumentidega töötamisel sageli paberankeeti, mis nõuab meie allkirja pastakas. Kuid elektrooniliste failide kasutamise levides suureneb vajadus digitaalallkirjade järele. Aja jooksul on inimtegevust ja tegevust ilma selle tööriistata raske ette kujutada.

Tõenäoliselt saab digiallkirjast lõpuks täisväärtuslik elektrooniline pass, mille tähtsust on raske üle hinnata. Kuid sel juhul tekivad küsimused andmete turvalisuse kohta. Me ei tohiks unustada, et praegu on kõige haavatavam tegur tehniline süsteem- see on inimene. Selleks, et digitaalallkiri ei satuks kurjategijate kätte, kes kasutavad seda kahju tekitamiseks, on vaja pidevalt tõsta oma teadlikkust ja kvalifikatsiooni tehnoloogiliste toodete kasutamisel.

Osapooltega elektroonilisele dokumendihaldusele üle minnes peab organisatsioon mõtlema, kuidas edaspidi arhiivi hooldada. Millistele andmekandjatele tuleks dokumente säilitada? elektroonilisel kujul ja kuidas nende õiguslikku tähtsust kinnitada?

Millises formaadis ja millistel andmekandjatel dokumente säilitada?

Milles on probleem?

Organisatsioonid peavad säilitama erinevaid raamatupidamis-, äri- ja personalidokumente mitmest aastast mitme aastakümneni. Näiteks raamatupidamise algdokumente tuleb säilitada viis aastat pärast seda, mil neid viimati raamatupidamises kasutati.

Elektrooniline dokument peaks olema lugemiseks kättesaadav isegi mitu aastat pärast selle loomist. Probleem on selles, et arvutitehnoloogia ja tarkvara aegunud ning toimetajatel ja lugejatel on uued versioonid.

On suur tõenäosus, et mitu aastat tagasi loodud dokumenti ei saa lugeda vajaliku seadme või programmi puudumise tõttu. Näiteks tänapäeval on 3,5-tolliselt disketilt infot raske lugeda, kuigi 10 aastat tagasi oli see tavaline andmekandja.

Dokument tuleb salvestada samas vormingus, milles see loodi. Kui muudate vormingut, ei ühti elektrooniline allkiri dokumendiga. Seetõttu ei ole selle autentsust enam võimalik tõestada.

Kuidas lahendada?

Selle probleemi aitab lahendada perioodiline teabe ümberkirjutamine aegunud kandjatelt kaasaegsematele. Mis puutub tarkvarasse, siis kõik suuremad arendajad toetavad oma toodete uute versioonide väljatöötamisel eelmiste versioonide vorminguid.

Kui vahetus viidi läbi EDFi operaatori teenuse kaudu, on dokumendid igal ajal kättesaadavad. Suured operaatorid salvestavad dokumente lõputult pilves ja võimaldavad neid vaadata, üles laadida ja sertifikaadi andmeid vastu võtta elektrooniline allkiri(EDS), millega need allkirjastati. Kõik, mida vajate, on Interneti-ühendus.

Kuidas kinnitada dokumentide õiguslikku tähendust

Milles on probleem?

Elektroonilist allkirja kasutatakse dokumendi allkirjastaja tuvastamiseks ja see kaitseb dokumenti allkirjastamise järgsete muutuste eest. Kuid elektroonilise allkirja sertifikaadi kehtivusaeg on maksimaalselt 15 kuud ja elektroonilise allkirja kehtivuse kinnitamine võib kesta mitu aastat.

Kuidas lahendada?

Selle probleemi lahendab ajatempliteenus, mida pakuvad sertifitseerimiskeskused ja mõned infosüsteemid. Elektroonilisele allkirjale lisatakse selle loomise ajal täiendav atribuut - tempel või ajatempel.

Teenus lisab allkirjastatud dokumendile ka hetkel kehtetuks tunnistatud sertifikaatide nimekirja. Allkirjastades nimekirja elektroonilise allkirjaga, kinnitab teenus, et allkiri on allkirjastamise hetkel kehtiv.

Sel juhul saab allkirja ehtsust kinnitada ka pärast sertifikaadi enda kehtivusaja lõppu. Ajatempliga elektroonilist allkirja nimetatakse täiustatud allkirjaks. Selline allkiri mitte ainult ei lihtsusta elektrooniliste dokumentide arhiivishoidmist, vaid on ka selle tingimuseks elektrooniline dokumendihaldus mõne infosüsteemidega

Elektrooniline digitaalallkiri (EDS) on elektroonilise dokumendi nõue, mis võimaldab teil alates EDS-i moodustamise hetkest tuvastada elektroonilises dokumendis teabe moonutamise puudumist ja kontrollida, kas allkiri kuulub EDS-i võtme omanikule. tunnistus. Detailide väärtus saadakse privaatset digitaalallkirjavõtit kasutades teabe krüptograafilise teisendamise tulemusena.

1994. aastal võeti vastu Vene Föderatsiooni tsiviilseadustiku esimene osa (kuupäev 30. november 1994 nr 51-FZ), milles art. 160 (“Tehingu kirjalik vorm”), võimalus kasutada “ digitaalne allkiri... seaduses, muudes õigusaktides või poolte kokkuleppes sätestatud juhtudel ja viisil,” ja Art. 434 nägi ette ka lepingu sõlmimise võimaluse "vahetades dokumente ... elektroonilise või muu side teel, mis võimaldab usaldusväärselt tuvastada, et dokument on pärit lepingupoolelt."

Veidi varem kinnitas Vene Föderatsiooni Kõrgema Arbitraažikohtu 19. augusti 1994. aasta kiri nr S1-7/OP-587 “Teatud soovituste kohta, mis kohtuliku vahekohtu praktika koosolekutel vastu võetud” kinnitas esitatud dokumentide tõendina aktsepteerimise võimalust. elektroonilisel kujul ja allkirjastatud elektroonilise digitaalallkirjaga , kui leping sisaldab erimeelsuste lepitamise korda ning lepingu ehtsuse ja allkirjade õigsuse tõendamise korda.

Kui tekib vaidlus elektroonilise digiallkirjaga allkirjastatud dokumentide kättesaadavuse üle, peavad pooled esitama lepingu väljavõtte, kus on täpsustatud erimeelsuste lepitamise kord. Vaid paar kuud hiljem võeti vastu föderaalseadus nr 24-FZ 02.20.95 "Teabe, informatiseerimise ja teabekaitse kohta" (praegu on see seadus kaotanud jõu, föderaalseadus nr 149-FZ 07.27.06 "On" info, infotehnoloogia ja infokaitse”), milles oli kirjas: „Automatiseeritud info- ja telekommunikatsioonisüsteemide abil säilitatava, töödeldava ja edastatava dokumendi õigusjõudu saab kinnitada elektroonilise digitaalallkirjaga (edaspidi EDS).

Venemaal väljastab juriidiliselt olulise elektroonilise allkirja sertifikaati sertifitseerimiskeskus. Õiguslikud tingimused elektroonilise digitaalallkirja kasutamiseks aastal elektroonilised dokumendid reguleeritud 10. jaanuari 2002. aasta föderaalseadusega nr 1-FZ "Elektroonilise digitaalallkirja kohta", art. 3.

Elektroonilise digitaalallkirja õigusjõudu tunnustatakse, kui automatiseeritud infosüsteemis on allkirja tuvastamist tagavad tarkvara- ja riistvaravahendid ning järgitakse nende kasutamiseks kehtestatud režiimi. Seaduse kohaselt väljastati veel üks Vene Föderatsiooni Kõrgema Arbitraažikohtu 06/07/95 kiri nr S1-7/03-316, mis uue seaduse sõnastusele tuginedes märkis, et kinnitamisel elektroonilise digiallkirjaga dokumendi õiguslikku kehtivust, võib sellist dokumenti tunnistada tõendina vahekohtus arutatavas asjas. Dokumentide kasutamine sisse elektrooniline vorm oli reguleeritud ka osakondade määrustega.

Näide - 12. märtsi 1998. a ajutine määrus nr 20-P „Venemaa Panga, krediidiasutuste (filiaalide) ja teiste Venemaa Panga klientide vahelise elektrooniliste dokumentide vahetamise reeglite kohta maksete tegemisel Venemaa Panga kaudu. Venemaa arveldusvõrk” (Vene Föderatsiooni Keskpanga korraldus 11. aprillil 2000 nr 774-U).

Kõik seadusandlikud ja normatiivdokumendid nägid aga ette digitaalallkirja õigusjõu tunnustamise ainult kahepoolsete lepingute tasandil, tingimusel et lepingupooled on eelnevalt sõlminud digiallkirjaga allkirjastatud dokumentide vastastikuse tunnustamise lepingu. See tähendab, et organisatsioonid pidid esmalt sõlmima kirjaliku lepingu elektrooniliste dokumentide vastastikuse tunnustamise kohta, et seejärel hakata neid vahetama. See võimaldas korraldada kliendi-panga süsteemide tööd, kuid ei võimaldanud elektrooniliste dokumentide ülekandmist avalike suhete valdkonda. Vaja oli tehnoloogiat, mis võimaldaks võrdsustada elektrooniliste ja tavadokumentide kasutamise võimalusi.

Selle probleemi lahendamiseks võeti vastu 10. jaanuari 2002. aasta föderaalseadus nr 1-FZ “Elektroonilise digitaalallkirja kohta” (edaspidi “Elektroonilise digitaalallkirja seadus”), mille eesmärk oli just nimelt “tagada elektroonilise digitaalallkirja kasutamise õiguslikud tingimused elektroonilistes dokumentides, mille järgimisel tunnistatakse elektroonilises dokumendis olev elektrooniline digitaalallkiri samaväärseks dokumendis omakäelise allkirjaga. paberil».

Vastavalt Art. 3 Föderaalseadus "Elektroonilise digitaalallkirja kohta" 10. jaanuaril 2001 nr 1-FZ:

– elektrooniline dokument – ​​dokument, milles teave esitatakse elektroonilisel digitaalsel kujul;

- elektrooniline digitaalallkiri - elektroonilise dokumendi detail, mis on ette nähtud selle elektroonilise dokumendi kaitsmiseks võltsimise eest, mis on saadud teabe krüptograafilise teisendamise tulemusena elektroonilise digitaalallkirja privaatvõtme abil ja võimaldab tuvastada allkirjavõtme sertifikaadi omanikku; samuti tuvastada elektroonilises dokumendis teabe moonutamise puudumine;

– elektroonilise digitaalallkirja vahendid – riist- ja (või) tarkvara, mis tagavad vähemalt ühe järgmistest funktsioonidest – elektroonilise digitaalallkirja loomine elektroonilises dokumendis elektroonilise digitaalallkirja privaatvõtme abil, kinnitamine kasutades avalik võti elektrooniline digitaalallkiri, elektroonilise digitaalallkirja autentimine elektroonilises dokumendis, elektrooniliste digitaalallkirjade privaatsete ja avalike võtmete loomine;

– elektroonilise digitaalallkirja vahendi sertifikaat – sertifitseerimissüsteemi reeglite kohaselt välja antud paberdokument, mis kinnitab elektroonilise digitaalallkirja vahendi vastavust kehtestatud nõuetele;

Vastavalt Art. 16 Föderaalseadus "Elektroonilise digitaalallkirja kohta" elektroonilise digitaalallkirja kasutamise valdkonnas valitsuse kontrolli all:

Pärast 2005. aastal krediidiasutuste ja krediidibüroode vahelises elektroonilises dokumendivoos kasutusel olevate digitaalallkirjade kehtestamist tekkis elektroonilise dokumendivoo infrastruktuur 2005. aastal maksuhaldurid ja maksumaksjad. Tööd alustas Vene Föderatsiooni Maksu- ja Tolliministeeriumi 2. aprilli 2002. a korraldus nr BG-3-32/169 “Elektroonilise maksudeklaratsiooni esitamise kord sidekanalite kaudu”. See määratleb teabevahetuse üldpõhimõtted maksudeklaratsiooni elektroonilisel esitamisel telekommunikatsioonikanalite kaudu.

Vene Föderatsiooni 10. jaanuari 2002. aasta seadus nr 1-FZ "Elektroonilise digitaalallkirja kohta" sätestab digitaalallkirja kasutamise tingimused, selle kasutamise eripära avaliku halduse valdkondades ja ettevõtte infosüsteemis.

Tänu EDS-ile on nüüd eriti paljud Venemaa ettevõtted teostada oma kaubandus- ja ostutegevus Internetis “Systems e-kaubandus", vahetades vastaspooltega vajalikud dokumendid elektroonilisel kujul, allkirjastatuna digiallkirjaga. See lihtsustab ja kiirendab oluliselt konkureerivaid kauplemisprotseduure.

Elektroonilise digitaalallkirja õigusjõud kinnitati 27. juuli 2006. aasta föderaalseadusega nr 149-FZ “Teabe, infotehnoloogia ja teabekaitse kohta”, art. 11, mille kohaselt „elektroonilise digitaalallkirjaga või muu omakäelise allkirja analoogiga allkirjastatud elektrooniline teade tunnistatakse elektrooniliseks dokumendiks, mis on samaväärne käsitsi kirjutatud allkirjaga allkirjastatud dokumendiga, juhul kui föderaalseadused või muud normatiivaktid seda ei näe. kehtestama sellise dokumendi paberkandjal koostamise nõude või viitama sellele."

See tähendab, et kõigil juhtudel, kus seadus otseselt ei sätesta, et dokument tuleb vormistada paberkandjal, on meil õigus kasutada elektroonilisi dokumente. Ka Art. 11 ütleb: „Tsiviillepingute sõlmimiseks või muude õigussuhete vormistamiseks, milles osalevad elektroonilisi teateid vahetavad isikud, vahetatakse elektroonilisi sõnumeid, millest igaüks on allkirjastatud elektroonilise digitaalallkirjaga või saatja omakäelise allkirja muu analoogiga. Sellise sõnumi saatmist föderaalseaduste, muude normatiivaktide või poolte kokkuleppega kehtestatud viisil käsitletakse dokumentide vahetamisena.

Kui paberdokumendil allkirja kasutamisel saab selle juriidilist jõudu selgitada, võrreldes dokumendi all olevat allkirja teiste selle isiku allkirjanäidistega ning kohtumenetluse korral - grafoloogilise ekspertiisi abil, siis oli digiallkirja tehnoloogia juurutamisel vaja ette näha süsteem, mis võimaldab iga elektroonilise allkirjaga allkirjastatud elektroonilise dokumendi vastuvõtmisel (avamisel) üheselt tuvastada dokumendi allkirjastaja ning samuti tuvastada teabe moonutamise puudumine. elektroonilises dokumendis pärast allkirjastamist.

Tehniliselt hõlmab allkirjastamissüsteem krüptograafilise tehnoloogia (krüptimise) kasutamist, allkirjastades dokumendi privaatse (salajase) võtmega ja kontrollides allkirja avaliku (avaliku) või, nagu seda nimetatakse ka avaliku võtme, abil.

Selle tehnoloogia kasutamiseks on vaja sertifitseerimisasutuste olemasolu, kes väljastavad dokumentide allkirjastamiseks privaatvõtmed ja haldavad allkirjade kontrollimiseks kasutatavate avalike võtmete avalikku andmebaasi.

EDS-i seadus on paljuski just sertifitseerimiskeskuste seadus – neile on pühendatud peatükk 3. Usume, et just viivitused loomisel. ühtne võrk sertifitseerimiskeskused ja selgitab elektrooniliste digitaalallkirjade massilise levitamise viibimist, kuna elektrooniliste digitaalallkirjade laialdane kasutamine nõuab privaatvõtmete massiliseks väljastamiseks (dokumentide allkirjastamiseks) ja avalike võtmete levitamiseks sobiva infrastruktuuri korraldamist. elektroonilise digitaalallkirja autentsuse kontrollimine).

Ingliskeelset akronüümi PKI (public key infrastruktuur) kasutatakse sageli võtmete levitamise infrastruktuuri tähistamiseks. Vastavalt Vene Föderatsiooni valitsuse 30. juuni 2004. a määrusele nr 319 „Föderaalameti eeskirjade kinnitamise kohta infotehnoloogia» korraldada sertifitseerimiskeskuste volitatud isikute elektrooniliste digitaalallkirjade autentsuse kinnitamine nende poolt väljastatud allkirjavõtme sertifikaatides, sertifitseerimiskeskuste allkirjavõtme sertifikaatide ühtse riikliku registri ja volitatud isikute allkirjavõtme sertifikaatide registri pidamine. föderaalvalitsusorganite jaoks”, samuti „tagamaks neile juurdepääsu kodanikele, organisatsioonidele, riigiasutustele ja kohalikele omavalitsustele” usaldati Föderaalne agentuur infotehnoloogias.

Keskse struktuuri vajadus tuleneb järgnevast. Fakt on see, et pärast elektroonilise digitaalallkirjaga allkirjastatud dokumendi saamist peaksite võtma ühendust sellele isikule allkirja andnud sertifitseerimiskeskusega, et saada allkirjavõtme sertifikaat, st allkirja õigsuse kontrollimiseks avalik võti.

Siiski tekib küsimus: kas seda sertifitseerimisasutust saab usaldada? Kas taotleja isikut kontrolliti enne sertifikaadi väljastamist? Siin meenutab sertifitseerimiskeskuste tegevus mõneti notarite tegevust.

Seetõttu ilmub see Art. Seaduse artikkel 10 on volitatud föderaalne organ, mis „viib läbi ühe Riiklik register allkirjavõtme sertifikaadid, millega avalikes infosüsteemides osalejatega töötavad sertifitseerimiskeskused sertifitseerivad enda väljastatud allkirjavõtme sertifikaate, annab võimaluse sellele registrile vaba juurdepääsuks ning väljastab allkirjavõtme sertifikaate sertifitseerimiskeskuste vastavatele volitatud isikutele.

Viivitus digitaalallkirjade kasutuselevõtul avalike suhete sfääri tulenes suures osas lahendamata probleemidest juur- (pea) sertifitseerimiskeskuse loomisel, mis peab registreerima kõik sertifitseerimiskeskused.

Nii näiteks ilmus 04/10/03 Moskva valitsuse korraldus “Moskva pealiku piirkondliku sertifitseerimiskeskuse loomise kohta” (nr 568-RP) ja Moskva pealiku sertifitseerimiskeskuse (GUC) avamine toimus alles 12/01/06. Organisatsiooni või eraisiku soovil loob sertifitseerimiskeskus taotlejale dokumentide allkirjastamiseks mõeldud võtme ja allkirjavõtme sertifikaadi, sealhulgas avaliku võtme elektroonilise digitaalallkirja kontrollimiseks. Allkirjavõtme sertifikaat võib sisaldada nii perekonnanime, eesnime, isanime ja ametikohta (märkides ära organisatsiooni nime ja asukoha, kus see ametikoht on asutatud) ning allkirjavõtme sertifikaadi omaniku kvalifikatsiooni ja muid andmeid. asjakohaste dokumentidega kinnitatud teave.

Seega, kuna allkirjavõtme sertifikaat luuakse kirjaliku avalduse alusel, kinnitatakse taotleja isikusamasus ja muu sisestatud teave asjakohaste dokumentidega - see tagab dokumendi allkirjastaja isiku vastavuse allkirjavõtme sertifikaadis märgitud andmetele. Veelgi enam, vastavalt artikli lõikele 4. Seaduse artikli 9 kohaselt osutatakse infosüsteemides osalejatele sertifitseerimiskeskuse poolt registreeritud allkirjavõtme sertifikaatide väljastamise teenuseid koos teabega nende toimimise kohta elektrooniliste dokumentide kujul tasuta.

Elektroonilise digitaalallkirja (EDS) organisatsiooniline tugi toimub vastavalt selle riigi õigusaktidele, kelle territooriumil seda EDS-i võimalust kasutatakse. Sellise seadusandluse puudumisel õiguslik regulatsioon digitaalallkirja vahendite kasutamise valdkonnas toimub haldusorganite määruste alusel.

Vastavalt Art. 3 Föderaalseadus "Elektrooniliste digitaalallkirjade kohta" 10. jaanuaril 2001 nr 1-FZ:

elektrooniline dokument - dokument, milles teave esitatakse elektroonilisel digitaalsel kujul;

elektrooniline digitaalallkiri - elektroonilise dokumendi detail, mis on ette nähtud selle elektroonilise dokumendi kaitsmiseks võltsimise eest, mis on saadud teabe krüptograafilise teisendamise tulemusena elektroonilise digitaalallkirja privaatvõtme abil ja võimaldab tuvastada allkirjavõtme sertifikaadi omanikku. samuti tuvastada elektroonilises dokumendis teabe moonutamise puudumine;

elektroonilise digitaalallkirja vahendid - riist- ja (või) tarkvara, mis tagab vähemalt ühe järgmistest funktsioonidest - elektroonilise digitaalallkirja loomine elektroonilises dokumendis elektroonilise digitaalallkirja privaatvõtme abil, kinnitamine elektroonilise digitaalallkirja avaliku võtme abil. elektroonilise digitaalallkirja autentsuse elektrooniline digitaalallkiri elektroonilises dokumendis, elektrooniliste digitaalallkirjade privaatsete ja avalike võtmete loomine;

elektroonilise digitaalallkirja vahendi sertifikaat - sertifitseerimissüsteemi reeglite kohaselt väljastatud paberdokument, mis kinnitab elektroonilise digitaalallkirja vahendi vastavust kehtestatud nõuetele;

Vastavalt Art. 16 Föderaalseadus "Elektroonilise digitaalallkirja kohta" elektroonilise digitaalallkirja kasutamine avalikus halduses

1. Föderaalvalitsusorganid, Vene Föderatsiooni moodustavate üksuste valitsusorganid, kohalikud omavalitsused, samuti nende asutustega dokumendivoogudes osalevad organisatsioonid kasutavad oma elektrooniliste dokumentide allkirjastamiseks nende asutuste ja organisatsioonide volitatud isikute elektroonilisi digitaalallkirju.

2. Föderaalvalitsusorganite volitatud isikute allkirjavõtme sertifikaadid on kantud volitatud föderaalasutuse peetavasse allkirjavõtme sertifikaatide registrisse. täitevvõim ja väljastatakse selle registri allkirjavõtme sertifikaatide kasutajatele käesolevaga ettenähtud viisil Föderaalseadus sertifitseerimiskeskuste jaoks.

3. Vene Föderatsiooni moodustavate üksuste ametiasutuste volitatud isikute ja kohalike omavalitsusorganite volitatud isikute allkirjavõtmete sertifikaatide väljaandmise korraldamise kord on kehtestatud asjaomaste organite normatiivaktidega.

Omanik infosüsteem, milles seda rakendatakse
elektrooniline digitaalallkiri elektrooniliste dokumentide loomisel,
peab:

tagama kasutatava tarkvara ja riistvara vastavuse elektroonilise digitaalallkirja tööriistade tootja poolt määratud nõuetele ja käesolevas dokumendis sisalduvatele nõuetele.
sertifitseerimiskeskuste eeskirjad;

tagama elektroonilise digitaalallkirja kasutamist nõudvate elektrooniliste dokumentidega infosüsteemis toimingute tegemisel kehtivate elektroonilist digitaalallkirja käsitlevate õigusaktide nõuete täitmise.

Allkirjavõtme sertifikaadi omanik on kohustatud järgima kehtivate elektrooniliste digitaalallkirjade valdkonna õigusaktide, Moskva valitsuse normatiivaktide nõudeid, määrused organisatsioon, kellele kuulub infosüsteem, milles ta kasutab elektroonilist digitaalallkirja, sertifitseerimiskeskuse eeskirjad, interakteeruvate infosüsteemide haldajate seaduslikud nõuded ja korraldused, samuti käesolev kord.

Infosüsteemide omanikud, sertifitseerimiskeskused, ametnikud, infovahetuses osalejad jt isikud kannavad ettenähtud korras. kehtivad õigusaktid vastutus oma tegevuse või tegevusetusega kahju tekitamise eest, kui nad ei järgi käesoleva korra nõudeid.

See tähendab, et vastuvõetud dokumendi allkirja ehtsuse kontrollimine ei nõua kulusid. Teine probleem on elektroonilise digitaalallkirja autentsuse kontrollimiseks kasutatavate avalike võtmete salvestamise probleem. Kooskõlas Art. Seaduse 7 kohaselt ei saa avaliku võtme sertifitseerimiskeskuses säilitamise aeg olla lühem seadusega kehtestatud digitaalallkirjaga allkirjastatud dokumentide aegumistähtaeg, mille möödumisel kantakse avalik võti arhiivisalvestusrežiimile.

Seadus kehtestab arhiivi säilitamise tähtajaks vähemalt viis aastat, s.t näiteks ajutise (5-aastase) säilitustähtajaga dokumentide avalike võtmete kogusäilitamisaeg peaks olema 10 aastat.

Kontoritöö seisukohalt on dokumentidega töötamise traditsiooniliste tehnoloogiatega võrreldes mitmeid uuendusi. Esiteks on see tingitud sellest, et elektroonilise allkirjaga allkirjastatud dokumendi failis muudatusi teha ei saa.

Dokumendi kontrollsumma (“räsisumma”) on peamine lahutamatu osa Digitaalallkiri tagab seaduse keeles "teabe moonutamise puudumise elektroonilises dokumendis pärast allkirjastamist". Sellest tulenevad mitmed muudatused. Kui varem võis paberdokumendiga töötades pärast allkirjastamist kirjavea avastanud töötaja dokumenti hoolikalt pastakaga parandada, midagi kinni katta ja mitmeleheküljelises dokumendis allkirjaga ainult viimasel või esimesel. lehekülge, asendada isegi dokumendi üksikud lehed, siis elektroonilise digitaalallkirja kasutamisel pole see enam võimalik – kõik dokumendi muudatused põhjustavad dokumendi digiallkirja kehtetuse.

Samal põhjusel on elektroonilise digiallkirjaga allkirjastatud dokumendis lubamatu automaatselt uuendada väljad, mis sageli esinevad dokumendimallides, näiteks "dokumendi printimise kuupäev", "dokumendi faili asukoht" jne. Automaatne värskendamine dokumendis olev väli toob kaasa ka dokumendi muutumise ja digiallkirja tühistamise. Teine oluline muutus tehnoloogiad on tingitud asjaolust, et tavaliselt pärast allkirjastamist paberdokument kantakse üle koolieelse õppeasutuse teenus(kantselei, üldosakond, sekretariaat), kus see registreeritakse ja millele on kinnitatud registreerimisnumber.

Kuna pärast allkirjastamist ei saa dokumendifailis muudatusi lubada, siis tuleb registreerimisandmed sisestada ainult dokumendi registreerimiskaardile. Seega ainult registreerimiskaardile (dokumentide andmebaasi) salvestatakse resolutsioone ja muid detaile, mida varem traditsiooniliselt paberdokumendile rakendati.

Seega, kui traditsiooniline dokument on paberileht, millel on kõik üksikasjad, mis peegeldavad eluring dokument (kuupäev, allkiri, registreerimisnumber, kättesaamise märge, resolutsioon, täitmise ja esitamise märge jne), siis on elektrooniline dokument elektroonilise allkirjaga fail, allkirja kontrollimise avalik võti ja kanne andmebaasis , st elektroonilist kaarti, mis on lisatud dokumendile ja mis sisaldab kõiki vajalikke andmeid ja teavet selle elutsükli kohta.

Juriidiliselt oluliste elektrooniliste dokumentidega töötamiseks vajate spetsiaalset tarkvara, elektroonilist dokumendihaldussüsteemi (EDS), nii et antud olukorras on küsimus sellise süsteemi valimisest ja rakendamisest, mis tagab töö elektrooniliste dokumentide ja digitaalallkirjadega kõigile ettevõtte töötajatele. organisatsioon tuleb esiplaanile.

Kuna ühtne standard elektroonilisel kujul dokumentide vahetamiseks ja nende üleandmiseks riigiarhiivi organisatsioonide vahel veel ei eksisteeri (kuigi praegu on Ülevenemaaline Dokumentatsiooni ja Arhiiviasjade Uurimise Instituut (VNIIDAD) juba arenemas juhised elektrooniliste dokumentidega töö korraldamise kohta), siis saame soovitada keskenduda kõige populaarsematele tarkvaratoodetele, mida saab tulevikus hõlpsasti täiustada kohe pärast vastavate regulatiivsete ja metoodiliste dokumentide vastuvõtmist.

Elektroonilist digitaalallkirja saavad kasutada juriidilised ja üksikisikud maksuaruannete (maksudeklaratsioonide) elektrooniliseks esitamiseks, vajalike tõendite saamiseks, aruannete esitamiseks pensionifondi ja sotsiaalkindlustusfondi, küsimustele vastamiseks alates valitsusagentuurid ja organisatsioonid, osalemine riigi- ja munitsipaaltellimuste konkurssidel ning elektroonilistel oksjonitel. Sõltumata nende toimumiskohast ja osaleja asukohast, samuti oma (ettevõttesisese) elektroonilise dokumendivoo korraldamiseks, partneritega suhtlemisel, muude rakenduslike probleemide lahendamiseks.

Elektroonilist digitaalallkirja kasutatakse ka identifitseerimiseks ruumidele volitatud juurdepääsu süsteemides, infosüsteemides jne.

Digitaalallkirja süsteemi kasutamise tehnoloogia eeldab abonentide võrgu olemasolu, kes saadavad üksteisele allkirjastatud elektroonilisi dokumente. Iga abonendi jaoks luuakse paar võtmeid: privaatne ja avalik.

Privaatvõtit hoiab tellija salajas ja ta kasutab seda elektroonilise allkirja genereerimiseks. Avalik võti on kõigile teistele kasutajatele teada ja see on mõeldud allkirjastatud elektroonilise dokumendi saaja poolt digitaalallkirja kontrollimiseks.

Elektroonilist digitaalallkirja kasutatakse sidekanalite kaudu edastatavate dokumentide autentsuse kinnitamiseks. Funktsionaalselt sarnaneb see tavalisele allkirjale ja sellel on peamised eelised:

tõendab, et allkirjastatud tekst pärineb allkirjastajalt;

ei anna sellele isikule võimalust keelduda allkirjastatud tekstiga kaasnevatest kohustustest;

tagab allkirjastatud teksti terviklikkuse.

Elektrooniline digitaalallkiri on suhteliselt väike kogus täiendavat digitaalset teavet, mis edastatakse koos allkirjastatud tekstiga.

Digitaalallkiri põhineb kaasaegse krüptograafia saavutustel. Elektroonilise allkirja abil luuakse üheselt mõistetav vastastikune seos sõnumi sisu, allkirja enda ja võtmepaari vahel. Vähemalt ühe nimetatud elemendi muutmine viib selle ühenduse rikkumiseni ning selle säilitamine on digitaalallkirja ja sellest tulenevalt ka sõnumi enda autentsuse kinnitus. Digitaalallkiri realiseeritakse asümmeetriliste krüpteerimisalgoritmide ja räsifunktsioonide abil.

Elektroonilise allkirja kasutamine hõlmab kahte protseduuri:

– digitaalallkirja andmine;

– digitaalallkirja kontrollimine.

Digitaalallkirjade genereerimiseks (loomiseks) on kaks võimalust:

– privaatvõtme genereerimine CA-s;

– privaatvõtme genereerimine kasutaja poolel.

Sageli genereerib kasutaja iseseisvalt privaatvõtme (oma töökohal), misjärel genereerib ta CA-le taotluse allkirjavõtme sertifikaadi (SKC) tootmiseks ja selle SKP registreerimiseks CA registris. Sel juhul allkirjastatakse kasutaja allkirjavõtme sertifikaat elektrooniliselt CA võtmega ning sertifikaadil vastavat vahekaarti avades on näha, millise võtmega see UPC allkirjastati. Seega sertifitseerib KA volitatud isik (tegemist on infoturbe alal vastava hariduse saanud töötajaga) kasutaja sertifikaadi enda sertifikaadiga, seda nimetatakse ka juursertifikaadiks. Sertifitseerimiskeskus kinnitab oma allkirjaga kõik enda poolt loodud allkirjad.

Kui privaatvõti genereeritakse CA-s, siis volitatud töötaja läheb CA-sse, kus ta peab esitama isikut tõendava dokumendi (tavaliselt passi) ja andma CA-haldurile üle kogu tema määrustega nõutud dokumentide paketi. Pärast seda genereerib administraator spetsiaalselt varustatud ruumis kliendi privaatsed ja avalikud võtmed. Järgmisena väljastab administraator ühe võtme, mis tuleb väljastada turvalisel andmekandjal ja registreerib sertifikaadi, s.o. kannab selle olemasoleva UPC UC registrisse.

Vastavalt Art. 5 Föderaalseadus "Elektroonilise digitaalallkirja kohta" nr 1-FZ, 10. jaanuar 2002:

1. Elektroonilise digitaalallkirja võtmete loomine toimub:

– avalikus infosüsteemis kasutamiseks – kasutaja poolt või tema nõudmisel – sertifitseerimisasutuse poolt;

– ettevõtte infosüsteemis kasutamiseks – selles süsteemis kehtestatud viisil.

2. Loomisel EDS võtmed Avalikus infosüsteemis kasutamiseks tuleks kasutada ainult sertifitseeritud digitaalallkirja tööriistu. EDS-võtmete sertifitseerimata vahenditega loomisega seoses tekkinud kahjude ja kahjude hüvitamine võidakse määrata selliste võtmete loojatele ja levitajatele.

3. Föderaalvalitsusorganite, Vene Föderatsiooni moodustavate üksuste valitsusorganite ja kohalike omavalitsuste ettevõtete infosüsteemides ei ole sertifitseerimata digitaalallkirja tööriistade ja nende loodud digitaalallkirjavõtmete kasutamine lubatud.

4. Digitaalallkirja vahendite sertifitseerimine toimub vastavalt Vene Föderatsiooni õigusaktidele toodete ja teenuste sertifitseerimise kohta.

Vaatleme digitaalallkirjade salvestamise funktsioone

Kaitstud kandja on varustatud turvasüsteemiga - pin-kood, kaitse häkkimise eest, kaitse seestpoolt volitamata kopeerimise eest, näiteks allkirjastamise ajal. Kuid sageli kasutatakse kaitsmata andmekandjat, millelt võtmeid on lihtne kopeerida, samuti on võimalik kasutada elektroonilist digitaalallkirja arvutist, kui see on sellele installitud. Turvalisuse seisukohast on see põhimõtteliselt vale, on oht, et kolmandad isikud saavad digitaalallkirja. Lisaks saab digiallkirja omanik oma allkirja kaitstud andmekandjalt kopeerida.

Nagu praktika on näidanud, eelistavad ettevõtete juhid saada digiallkirju oma nimele, kuid reeglina ei tööta nad kauplemisplatvormidel iseseisvalt ja kopeerivad allkirja oma töötajatele. Arvestada tuleks sellega, et kui kopeerite allkirja mitmele alluvale, on kohtumenetluse korral digiallkirja andmetega allkirjastatud dokumentidel täielik juriidiline jõud. Sellest tulenevalt, kui keegi on allkirjastanud mõne dokumendi halduri digiallkirjaga, kannab juht täielikku vastutust selle allkirjaga tehtavate toimingute eest. Näiteks kui sekretär või koristaja kirjutas teadmatusest või pahatahtlikust kavatsusest alla mõnele kokkuleppele või lepingule, on sellel täielik juriidiline jõud.

Antud juhul jääb esiteks ebaselgeks, kes ja kus dokumentidele alla kirjutab, ning teiseks saab kolmandatel isikutel võimalik organisatsiooni nimel tegutseda juhtkonna teadmata. Õigem on anda volitatud isikule tavaline pabervolikiri teise digiallkirja saamiseks, mille saamisel ta töötab kauplemisplatvorm enda nimel. Kui mõni viga tehakse, on kohe selge, kes selle tegi. Volikirjas on märgitud kõik töötajale antud volitused: näiteks võib ta teha kõik toimingud avalduse esitamiseks ja enampakkumisel osalemiseks, kuid tal ei ole õigust sõlmida valitsuslepingut. Seega saab töötaja tellimuse vormistamisel osalemiseks teha kõiki toiminguid, kuid lepingu allkirjastamise õigus jääb ainult ettevõtte juhile.

Kui te ei ole volitustega ettevaatlik, on võimalik, et töötajale antakse liiga laiad volitused. Näiteks õigused peadirektor. Sel juhul saab töötaja volitused organisatsiooni nimel mis tahes toimingute tegemiseks, sealhulgas dokumentide allkirjastamiseks ja arvelduskonto haldamiseks. Selliste õigustega elektroonilist digitaalallkirja tuleks hoida ainult piiratud juurdepääsuga kohas (näiteks seifis).

Võimalik, et töötajal puuduvad volitused konkreetsete tööde tegemiseks juriidilised toimingud. See tähendab, et kui elektroonilistele dokumentidele või lepingutele alla kirjutaval isikul ei ole õigust konkreetsetele dokumentidele alla kirjutada, on leping õigustühine ja selle saab lõpetada.

Test

1. Milline riistvara kuulub digitaalallkirja alla?

Ta rääkis Klerk.Ru korrespondendile Lev Mishkinile elektrooniliste allkirjade kasutamise tavast elektrooniliste dokumentide säilitamisel Ivan Agapov, Synerdocsi analüütik

Ivan, juba terve aasta oleme seaduslikult saanud elektroonilisi dokumente vahetada. Kuid lisaks dokumentide üleandmisele peame neid säilitama ja tagama juriidilise jõu. Seadus annab meile elektroonilise allkirja, kuidas see aitab tagada säilitatavate elektrooniliste dokumentide õiguslikku tähendust?

Alustame sellest, et dokumentidel on oma säilivusaeg – viiest aastast mitme aastakümneni. Ja ka elektroonilise allkirja sertifikaadil endal, mis ettevõtte töötajale antakse, on oma kehtivusaeg - tavaliselt aasta. Seadus nõuab, et allkirja kontrollimise ajal peab sertifikaat kas kehtima või peab olema tõend selle kohta, et see kehtis allkirjastamise ajal. Kui kontrollite allkirja aasta hiljem, ütleb otsekontroll, et allkiri ei kehti, kuna sertifikaat on aegunud.

See on just see küsimus, mida täiustatud elektrooniline allkiri käsitleb. Esiteks võimaldab see tõestada allkirjastamise aega (ajatempel, kuhu allkirjastamise hetk on salvestatud). Teiseks annab see tõendeid selle kohta täpne aeg sertifikaat oli kehtiv ja seda saab usaldada (tühistusnimekirjad, sertifikaadid usaldusteelt).

Sellega lahendatakse elektroonilise dokumendi arhiivisäilitamise põhimõtteline probleem – tagatakse sellise dokumendi õiguslik tähendus, mille säilitusaeg ületab elektroonilise allkirja sertifikaadi kehtivusaega.

Kas nüüd, elektrooniliste dokumentidega töötades, on täiustatud elektrooniline allkiri ainus juriidilise jõu tagaja? Kuidas see kajastub tänases praktikas, näiteks kohtus?

Muidugi pole selline allkiri ainus õiguslik tegur. Siinkohal tasub tagasi pöörduda elektrooniliste dokumentide juriidiliselt oluliseks tunnistamise üldise teooria juurde. Arvamusi on palju, kuid me kasutame nii-öelda klassikalist prioriteetide ahelat.

Näiteks on meil elektrooniline dokument, mida kavatseme kohtus kasutada, seega peame kindlaks tegema, kas sellel on õiguslik tähendus. Esimese asjana peab kohus välja selgitama, kas seda saab seaduslikult luua ja eksisteerida elektroonilisel kujul. Teiseks peab dokument sisaldama kõiki nõutavaid üksikasju. Kolmandaks peab kohus olema kindel, et sellele alla kirjutanud isikul oli harta, volikirja jms järgi õigus sellele dokumendile alla kirjutada. Kõik see on tegelikult dokumendi juriidiline valdkond. Ja alles siis selgub, kas elektrooniline allkiri on kehtiv.

Praktikas ei teki elektroonilise allkirja kehtivuse vastuolulist küsimust sageli. Näiteks saab kohus hõlpsasti lahendada elektroonilisel kujul dokumendi õigusliku tähenduse probleemi, kui pooled sõlmisid eelnevalt allkirjastatud elektrooniliste dokumentide vahetamise kokkuleppe ja vahetasid need isegi enne vaidluse tekkimist. Kohus kontrollib ennekõike elektrooniliste dokumentide vahetamise lepingu olemasolu, mis tegelikult tagab dokumendi juriidilise jõu. Ja ainult erandjuhtudel kontrollib kohus ise elektroonilise allkirja kehtivust.

Tuleme tagasi elektrooniliste dokumentide säilitamise küsimuse juurde. Kas elektrooniline allkiri lahendab täielikult säilitatavate andmete õigusliku tähenduse tagamise probleemid või jäävad mõned riskid alles?

Lahendab, kuid mitte täielikult. Seadus kohustab meid omama tõendeid, kuid mis need võivad olla, pole määratletud. Meie praktikas on küll rahvusvahelised standardid, kuid see kõik pole ikka veel seadusega kirjas, mistõttu on potentsiaalne oht, et ühel hetkel võtab riik omaks uus standard ja praeguseid tehnoloogiaid tuleb põhjalikult muuta.

Kuigi me kaldume arvama, et selline risk on ebatõenäoline, sest on olemas rahvusvaheline kogemus ja standardid, mida ei ole soovitatav uuesti teha. Seda kinnitab ka asjaolu, et viimased föderaalseaduse 63 "Elektrooniliste allkirjade kohta" muudatused ütlevad, et seadusandjad ei lähe tavaga vastuollu.

Lisaks on meil endiselt riske, mis on seotud elektroonilise dokumendi endaga kui sellisega. Seda tuleb ka kuidagi salvestada ja siin kerkivad esile elektroonilise dokumendi klassikalised probleemid - need on meediumid, need on salvestus- ja reprodutseerimisvahendid, need on formaadid ja nende tugi. Loomulikult pole see 5- või 10-aastase säilivusajaga dokumentide puhul eriti asjakohane, kuid kui me räägime dokumentidest, mille säilivusaeg on mitu aastakümmet, siis on väga raske ennustada, mis meil pärast seda aega saab.

Venemaal on elektrooniliste dokumentide säilitamise praktika väga väike. Seda vaatamata sellele, et föderaalseadus nr 1 “EDS-i kohta” kehtib alates 2002. aastast ja aruandeid on võimalik esitada elektrooniliselt ehk selgub, et oleme elektrooniliste arhiividega tegelenud juba üle 10 aasta. Tõsi, aruandlus on spetsiifiline ülesanne, mille puhul säilitusaeg on ebaoluline.

Me näeme sedapraktikas jääb palju vastuolusid. Mida peaksid elektroonilise dokumendihalduse operaatorid sellega seoses tegema? Ehk on neil mingi lahendus?

Saan vastata ainult meie praktika eest. Teenuse kaudu elektroonilise allkirjaga dokumendi edastamisel kontrollitakse allkirja ja viiakse see täiustatud vormingusse - st lisame ajatempli ja muud vajalikud parameetrid. Seega pakume lahenduse pika säilivusajaga dokumentidele juriidilise jõu andmise probleemile. Ja see on hetkel ainuke sobiv lahendus.

Isegi sel juhul pole probleem täielikult lahendatud. Elektroonilise allkirja tehnoloogial on ka oma piirangud, sertifikaatidel on aegumiskuupäevad. Seetõttu peate sertifikaadi kinnitamise protseduuri regulaarselt kordama.

Ja pikkade (näiteks 50 aastat) või püsivate säilitustähtaegadega dokumentide puhul võib jällegi viidata Euroopale. Välispraktika liigub nendes õigusliku tähenduse säilitamise käsitluse muutmise poole. Näiteks lihtsustatakse dokumentide massiivi terviklikkuse tagamise mehhanisme. Või võib isegi rääkida üleviimisest pabervaade ladustamiseks.

Selgub, et seadusandlus on endiselt peamine piirav tegur elektrooniliste dokumentide säilitamise praktika kujunemisel. Milliseid lahendusi te lisaks tuvastatud probleemidele veel ootate?

Tegelikult on kõik üsna optimistlik. Tänaseks oleme juba esitanud föderaalseaduse 63 muudatusettepanekud, mis on kasulikud ja positiivsed, eelkõige esitatakse nõuded ajatempli kasutamisele elektroonilises allkirjas, ühtse usaldusruumi mõiste. See on juba hea, see on juba spetsiifiline. See mõjutab elektrooniliste allkirjade kasutamise taristu arengut, nii et kasutaja ei hakkaks mõtlema, millist sertifikaati on kõige parem kasutada, vaid hakkab lahendama oma konkreetseid probleeme.

Praegu on olukord selline, et sageli seotakse elektrooniline allkiri konkreetne teenus. Arvestades teenuste kasvavat mitmekesisust, muutub see kasutajatele ebamugavaks. Neil on vaja ühte võimalikult laia kasutusalaga sertifikaati. Arvestades, et ootame plahvatuslikku kasvu nii teenustes kui ka elektrooniliste allkirjade rakendusvaldkondades ning kui meil puudub ühtne usaldusruum, siis ähvardame silmitsi võimsa süsteemse kriisiga.

Ja mis kõige tähtsam, lahendamata ei ole elektrooniliste dokumentide arhiivide reguleerimise küsimus. Föderaalseadus-125 “Arhiveerimise kohta” on juba aegunud, elektrooniliste dokumentide kohta pole selles praktiliselt midagi. Säilitusajad on küll olemas, kuid elektrooniliste dokumentide jaoks puuduvad tehnoloogiad ega soovitused. Pealegi on turul vähemalt piisavalt üldised põhimõtted ja soovitatavad standardid ning juurutamise peale mõtleb ta ise. Üldiselt ootame uudiseid uue seaduse kohta, mida kõik on juba ammu vajanud.

JUHISED

elektrooniline digitaalallkiri

FSBI PGN

Tingimused ja määratlused

Infoturbe administraator– isik, kes korraldab, tagab ja kontrollib elektrooniliste dokumentide vahetamisel infoturbe nõuete täitmist. Föderaalse riigieelarvelise institutsiooni PGN teabearvutuskeskuse personalistruktuuris

Elektrooniline digitaalallkiri (EDS)– andmed elektroonilise dokumendi kohta, mis on ette nähtud selle elektroonilise dokumendi kaitsmiseks võltsimise eest ja mis on saadud teabe krüptograafilise teisendamise tulemusena ja võimaldab tuvastada võtme omanikku, samuti tuvastada elektroonilises dokumendis sisalduva teabe moonutamise puudumine. .

Privaatne allkirjastamisvõti– unikaalne märgijada, mis on sertifikaadi omanikule teada ja on mõeldud elektroonilise digitaalallkirja loomiseks elektroonilistes dokumentides digitaalallkirja tööriistu kasutades.

Avalik allkirjastamisvõti– eraallkirja võtmele vastav kordumatu märgijada, mis on juurdepääsetav igale infosüsteemi kasutajale ja mille eesmärk on kinnitada elektroonilises dokumendis oleva digitaalallkirja autentsust.

Allkirjastamise võtme sertifikaat(sertifikaat) – paberkandjal või digitaalallkirja avalikku võtit sisaldav elektrooniline dokument, mille väljastab sertifitseerimiskeskus digitaalallkirja ehtsuse kinnitamiseks ja sertifikaadi omaniku tuvastamiseks.

Võtmeteabe kandja (võtmekandja)– materiaalne andmekandja, mis sisaldab privaatset allkirjastamis- või krüpteerimisvõtit.

Krüpteerimine – meetod teabe kaitsmiseks volitamata juurdepääsu eest selle pöörduva teisendamise tõttu ühe või mitme võtme abil.

2. Üldsätted

2.1. See juhend on mõeldud elektroonilise digitaalallkirja (EDS) tööriistu kasutavate automatiseeritud süsteemide kasutajatele.

2.2. Elektrooniline digitaalallkiri on juriidiliselt samaväärne selle omaniku elava allkirjaga.

2.3. Krüptograafilised turbemeetodid tagavad terviklikkuse ja autoriõiguse kaitse elektrooniline teave kasutades EDS-i. Kellegi teise nimel teabe sisestamise võimatus (digiallkirjade võltsimise võimatus) on tagatud kasutajate privaatse digitaalallkirja võtme saladuses hoidmisega.

2.4. Juhend sisaldab elektrooniliste dokumendihaldussüsteemide ja digitaalallkirjavõtmete käsitlemise põhireegleid, mille range rakendamine on vajalik teabe kaitse tagamiseks elektrooniliste dokumentide vahetamisel.

2.5. Digitaalallkirja võtmetega töötamiseks volitatud isikud vastutavad isiklikult allkirja privaatvõtmete turvalisuse (salajas hoidmise) eest ning on kohustatud tagama nende ohutuse, mitteavaldamise ja levitamata jätmise ning vastutavad isiklikult käesoleva Juhendi nõuete rikkumise eest.

2.6. Pidev organisatsiooniline tugi digitaalallkirjadega automatiseeritud tööjaamade (AWS) toimimiseks hõlmab kõigi kasutajate range vastavust turvaadministraatori nõuetele.

2.7. Tööd digitaalallkirja ja krüpteerimisvõtmetega koordineerib turvaadministraator (infoturbe eest vastutav isik). Turvaadministraator juhendab kasutajaid võtmete valmistamise, säilitamise, käsitsemise ja toimimise reeglitest, mis fikseeritakse vastavas logis (vt Lisa).

3. Digitaalallkirjade loomise protseduur

3.1. Digitaalallkirjade andmise kord on reguleeritud Sertifitseerimiskeskuse vastavate määrustega.

3.2. Digiallkirja omanikud ja vastutavad digitaalallkirjade teostajad määratakse instituudi direktori korraldusega või instituudi filiaalide juhatajate korraldusega (vt lisa).

3.3. Digiallkirja õigust omav kasutaja (digiallkirja vastutav täitja) genereerib iseseisvalt või koos turvahalduriga isikliku avaliku allkirjavõtme, samuti taotluse avaliku võtme sertifikaadi saamiseks (elektroonilisel kujul ja paberkandjal).

3.4. EDS-sertifikaadid ja EDS-id väljastatakse instituudi, selle filiaalide ja osakondade vastutavale ametnikule volikirja alusel vastavalt sertifitseerimiskeskuse asjakohastele määrustele.

3.5. Privaatsete allkirjastamis- ja krüpteerimisvõtmete moodustamine toimub registreeritud eemaldataval andmekandjal:

· diskett 3,5’’;

3.6. Privaatvõtmed on valmistatud kahes eksemplaris: põhikoopia ja töökoopia. IN igapäevane töö kasutatakse võtmekandja töökoopiat. Võtmed kehtivad 1 aasta alates sertifikaadi väljastamise kuupäevast.

3.7. Mitte mingil juhul ei tohi EDS-võtmeid salvestada tööjaama kõvaketastele.

Digiallkirjade säilitamise ja kasutamise kord

4.1. Juurdepääsuõigus installeeritud digitaalallkirja tarkvaraga töökohtadele on ainult neil isikutel, kes instituudi direktori korraldusel või selle filiaalide juhatajate korraldusel on määratud digitaalallkirja vastutavateks täitjateks (vt lisa) ja on antud volitused neid tööriistu kasutada.

4.3. Võtmekandjate siseruumides hoidmiseks on kohustuslik kasutada selle sulgemisseadmega varustatud tehases valmistatud metallhoidlat (seif, kapp, sektsioon). Hoiu pitseerimine peab toimuma digitaalallkirja vastutava täitja või selle omaniku isikliku pitsatiga.

4.4. Võtmekandjate hoidmine on lubatud teiste dokumentide ja võtmekandjatega samas hoidlas, kuid neist eraldi ja pakendis, mis välistab neile salajase juurdepääsu. Selleks asetatakse võtmekandjad spetsiaalsesse konteinerisse, mis on suletud digitaalallkirja vastutava täitja või omaniku isikliku metallpitsatiga.

4.5. Võtmekandjate transport väljaspool organisatsiooni on lubatud ainult sellega seotud juhtudel tootmisvajadus. Võtmekandjate transport peab toimuma viisil, mis välistab nende kadumise, asendamise või kahjustamise.

4.6. Elektroonilise digitaalallkirjaga varustatud tehniliste seadmete puhul tuleks kasutada ainult tootjate litsentsitud tarkvara.

4.7. Tuleb rakendada meetmeid, et välistada kõrvaliste isikute volitamata juurdepääs ruumidesse, kus on paigaldatud digitaalallkirja tehnilised vahendid.

4.8. Arvutusvahendeid, millel digitaalallkirja kasutatakse, on keelatud pärast võtmeteabe sisestamist kontrollimatult lahkuda. Kui kasutaja töökohalt lahkub, peaks parooli ekraanisäästja automaatselt aktiveeruma.

4.9. Digiallkirja vastutavad täitjad on kohustatud pidama võtmedokumentide logi ja täitma selle õigeaegselt (vt lisa).

4.10. Põhiteave sisaldab konfidentsiaalset teavet, seda säilitatakse nõuetekohaselt registreeritud andmekandjatel ja seda ei saa edastada kolmandatele isikutele (vt lisa).

4.11. Peamised teabekandjad viitavad materiaalsetele andmekandjatele, mis sisaldavad piiratud levikuga teavet ja mis tuleb registreerida vastavate arvestusvormide abil (vt lisa).

4.12. Privaatsete allkirjastamis- ja krüpteerimisvõtmete moodustamine toimub registreeritud eemaldataval andmekandjal:

· diskett 3,5’’;

· Puutemälu identifikaator DS1993 – DS1996;

· Rutokeni identifikaator jne.

4.13. Privaatvõtmed on valmistatud kahes eksemplaris: põhikoopia ja töökoopia. Igapäevatöös kasutatakse võtmekandja töökoopiat. Võtmed kehtivad 1 aasta alates sertifikaadi väljastamise kuupäevast.

4.14. Mitte mingil juhul ei tohi EDS-võtmeid salvestada tööjaama kõvaketastele.

4.15. Kui võtmekandja töökoopia on füüsiliselt kahjustatud, teavitab kasutaja sellest koheselt turvaadministraatorit. Turvaadministraator teeb kasutaja juuresolekul põhikoopiast järgmise võtmekandja töökoopia, kajastades vastavatel raamatupidamisvormidel tehtud toiminguid.

4.16. Võtmehoidja eemaldatakse suletud anumast ainult võtmetega töötamise ajal. Enne konteineri avamist peate kontrollima plommi terviklikkust ja selle identiteeti. Töövälisel ajal tuleb laos hoida suletud mahutit, mis sisaldab võtmekandjaid.

4.17. Kui ruumist, kus tööd tehakse, on vaja ajutiselt digiallkirja kasutades lahkuda, tuleb võtmehoidja uuesti konteinerisse panna ja pitseerida.

· teostada võtmekandjate kopeerimist turvahalduri poolt volitamata;

· avalikustada võtmekandjate sisu ja anda kandjad ise üle isikutele, kellel pole õigust seda näha, samuti kuvada põhiteavet ekraanil ja printeril;

· kasutada võtmekandjaid režiimides, mis pole digitaalallkirjade kasutamise reeglites ette nähtud, või kasutada võtmekandjaid kolmandate isikute arvutites;

· salvestada kõrvalist teavet võtmekandjatele.

Võtmekandja võtmete hävitamise protseduur

5.1. Instituudi direktori või selle filiaalide ja osakondade juhtide korraldusel tuleb moodustada komisjon võtmeinfo hävitamiseks.

5.2. Võtmed tuleb deaktiveerida ja hävitada järgmistel juhtudel:

· plaanipärane võtmevahetus;

· digitaalallkirja vastutava täitja (omaniku) andmete muutmine;

· võtmete kompromiss;

· võtmekandjate rike (kulumine, kahjustumine);

· digitaalallkirja kasutaja volituste lõppemine.

5.3. Võtmeid saab hävitada, hävitades füüsiliselt võtmekandja, millel need asuvad, või kustutades (hävitades) võtmed ilma võtmekandjat kahjustamata. Võtmed kustutatakse vastava korduvkasutatava võtmekandja jaoks (disketid, puutemälu, Rutoken jne) kasutatava tehnoloogia abil. Otsesed toimingud võtmeteabe kustutamiseks on reguleeritud tegevus- ja tehnilise dokumentatsiooniga.

5.4. Võtmed tuleb hävitada hiljemalt 10 päeva jooksul pärast nende kehtivuse kaotamist (aegumist). Hävitamise fakt dokumenteeritakse aktiga (vt lisa) ja kajastatakse vastavatel raamatupidamisvormidel (vt lisa). Akti koopia tuleb edastada Infoarvutuskeskuse infoturbeinsenerile hiljemalt 3 päeva jooksul pärast võtmeteabe hävitamist.

Toimingud, kui võtmed on ohus

6.1. Võtme kompromiss on usalduse kaotus, et kasutatavad võtmed tagavad teabe turvalisuse.

6.2. Peamised kompromissisündmused hõlmavad, kuid ei ole nendega piiratud:

· võtmekandja kadumine;

· võtmekandja kadumine koos hilisema tuvastamisega;

· ladustamis- ja hävitamisreeglite rikkumine (pärast võtme kehtivusaja lõppu);

· teabe lekke või moonutamise kahtlus;

· võtmekandjaga konteinerile trükkimise rikkumine;

· juhud, kui võtmekandjaga juhtunut ei ole võimalik usaldusväärselt kindlaks teha (sh juhud, kui võtmekandja on ebaõnnestunud ja võimalus, et see fakt tekkis ründaja volitamata tegevuse tagajärjel).

6.3. Võtme ohustamise korral lõpetab kasutaja koheselt elektrooniliste dokumentide vahetamise teiste kasutajatega ning teavitab kompromiteerimise faktist turvahaldurit ja instituudi infokeskuse infoturbeinseneri.

6.4. Kui võtmed on sattunud ohtu, tuleb läbi viia sisejuurdlus ja väljastada ohuteade.

6.5. Privaatallkirjavõtmete ohustamise fakti tuleb kinnitada instituudi ametliku kirjaliku teatega sertifitseerimisasutusele kompromissi kohta. Teatis peab sisaldama sertifikaadi identifitseerimisparameetreid, kompromissi kuupäeva ja kellaaega, kompromissi olemust, allkirjavõtme omaniku allkirja, juhataja allkirja ja instituudi või selle filiaali pitsatit.

6.6. Rikutud võtmed, mis on deaktiveeritud, hävitatakse (vt käesoleva juhendi p 5.2), mis registreeritakse EDS logis (vt lisa).

Infoturbe administraatori kohustused

7.1. Turvaadministraator pitseerib tööjaamade süsteemiüksused paigaldatud digitaalallkirja tööriistaga, välistades tööjaamade riistvara volitamata muutmise võimaluse. Sel juhul kantakse pitsati number personaalarvuti registreerimiskaardile ning personaalarvutite ja kontoriseadmete remonditaotluste ajakirja.

7.2. Turvahaldur juhendab elektrooniliste dokumendihaldussüsteemide kasutajaid digiallkirjade käsitlemise reeglitest.

7.3. Turvaadministraator jälgib riistvara terviklikkust ja tarkvaratooted, mida kasutatakse digitaalallkirju kasutavate elektrooniliste dokumendihaldussüsteemide jaoks.

7.4. Kontrolli digitaalallkirjadega rutiinse töö tegemise õigsuse ja õigeaegsuse üle teostavad turvaadministraator ja Sertifitseerimiskeskuse volitatud isikud.

7.5. Turvahaldur jälgib pidevalt kõiki digitaalallkirju kasutavate elektrooniliste dokumendihaldussüsteemide Kasutajate tegevusi.

7.6. Infoturbe administraator kontrollib vähemalt kaks korda aastas kõigis elektroonilistes dokumendihaldussüsteemides kasutatavates kasutajate tööjaamades kehtivate sertifitseerimisasutuste määruste ja käesoleva juhendi nõuetele vastavust.

Digiallkirja vastutavate täitjate kohustused

8.1. Digitaalallkirjade vastutavad täitjad peavad võtmedokumentidega töötades juhinduma Sertifitseerimiskeskuse asjakohaste määruste ja käesoleva Juhendi sätetest.

8.2. Digitaalallkirjade vastutavad täitjad on kohustatud korraldama oma töö digitaalallkirjade andmisel täielikult kooskõlas Sertifitseerimiskeskuse vastavate määruste ja käesoleva juhendi punktiga 3 sätestatuga.

8.3. Digiallkirja vastutavad täitjad on kohustatud korraldama oma tööd võtmedokumentidega täielikult kooskõlas käesoleva juhendi punktiga 4.

8.4. Võtmeteabe hävitamine võtmekandjalt võib toimuda ainult täielikus vastavuses sertifitseerimisasutuse asjakohaste määrustega ja käesoleva juhendi punktiga 5.

8.5. EDS-i andmete muudatuste korral (võtmete plaaniline vahetus, omanike või vastutavate täitjate andmete muutumine, uue EDS-i genereerimine jne) on vastutavad EDS-i täitjad kohustatud esitama infoturbe administraatorile 3 päeva jooksul järgmised dokumendid:

◦ digitaalallkirja omanike ja vastutavate täitjate määramise korralduse koopia;

◦ uue digitaalallkirja sertifikaadi koopia;

◦ digitaalallkirja võtmete hävitamise sertifikaadi koopia (vt lisa).

8.6. Digiallkirja vastutavad täitjad on kohustatud täitma infoturbehalduri nõudeid instituudi, selle osakondade ja filiaalide infoturbe tagamisel.

Kliinikutehnikute kohustused

9.1. Kliiniku tehnikud ei osale otseselt elektroonilises dokumendihalduses ja neil ei ole juurdepääsu võtmedokumentidele.

9.2. Kui vajalik, Hooldus või muud tööd Vastutavate EDS-i täitjate tööjaamas, mis on seotud süsteemiüksuste pitseri terviklikkuse rikkumisega, peavad kliinikutehnikud tegema personaalarvutite ja kontoriseadmete remonditaotluste logisse märke purunemise kohta. pitsat, märkides selle numbri. Pärast vajalike tööde tegemist pitseerib tehnik süsteemiploki nummerdatud pitsatiga, mis näitab selle numbrit personaalarvutite ja kontoriseadmete remonditaotluste ajakirjas ja Konto kaart personaalarvuti.

9.3. Kliinikumi tehnikud on kohustatud vähemalt kord kuus kontrollima digiallkirja kohta uuendatud teabe kättesaadavust vastavates Võtmedokumentide logiraamatutes (mida peavad digiallkirja vastutavad täitjad, vastavalt käesoleva juhendi punktile 4.9) ja teavitama sellest Infoturbe administraator kogu digiallkirja uuendatud teabe kohta.

Rakendus

võtmedokumentide käsitlemise reeglite järgi

elektrooniline digitaalallkiri

digitaalallkirja võtmete hävitamiseks (krüpteerimine)

"_____" ____________________ 200__g

Komisjon, _____________________________________________________________________________________

(organisatsiooni nimi, tellimuse number ja kuupäev)

koosseisus: esimees ___________________________________________________________________,

ja komisjoni liikmed________________________________________________________________________________

CD kasutaja juuresolekul ___________________________________________________

(volituste aegumine, volituste lõppemine, kompromiss)

koostanud hävitamiseks võtmedokumendid kustutamine põhiteave:

Tabel 1.*

Võti vedaja	Konto number	Nt. Ei.	Rekvisiidid tunnistus

Komisjon leidis, et andmete koostamisel lähtuti tabelis toodud GMI-st saadud teabest. 2, ei lugenud. Loetletud GMD ei sobi edasiseks kasutamiseks ja peab olema hävitamine magnetketaste lihvimine.

Tabel 2.*

Võti vedaja	Konto number	Nt. Ei.	Rekvisiidid tunnistus	TÄISNIMI. EDS-i võtme sertifikaadi omanik

Komisjoni liikmed:

_________________________________ ______________________________________________ (allkiri) (täisnimi)

"Ma annan loa hävitada"

____________________________________

(organisatsiooni juht)

____________________________________

(allkiri) (täisnimi)

MP "_____" ____________200__g.

Tabelis loetletud peamised dokumendid. 1, hävitati võtmeteabe kustutamisel topeltvorminguga.

Tabelis loetletud peamised dokumendid. 2, hävis magnetketaste purustamisel.

Komisjoni liikmed:

_________________________________ ______________________________________________ (allkiri) (täisnimi)

_________________________________ ______________________________________________ (allkiri) (täisnimi)

Akti koopia. Nr 1 – asu tööle

Akti koopia. Nr 2 - UFK RSBI osakonnale.

*Märkus. Tabel 1 täidetakse, kui põhiteave GMD-st kustutatakse.

Tabel 2 täidetakse võtmekandja hävitamisel.

Rakendus

võtmedokumentide käsitlemise reeglite järgi

elektrooniline digitaalallkiri

EDS-i omanike ja vastutavate täitjate määramise korralduse vorm

"____" __________________ 201 nr _________

Elektroonilise digitaalallkirja omanike ja vastutavate teostajate määramise kohta

Edastatud elektrooniliste dokumentide terviklikkuse kontrolli tagamiseks elektroonilise digitaalallkirja (EDS) abil aadressil ((elektroonilise dokumendihaldussüsteemi nimi))

MA TELLIN:

1. Määrake digitaalallkirja põhiomanik ((amet, digiallkirja omaniku täisnimi))

2. Määrata ((elektroonilise dokumendihaldussüsteemi nimetus)), ((ametikoht, digitaalallkirja vastutava täitja täisnimi)) vastutavaks täitjaks ja usaldada elektroonilistele dokumentidele elektroonilise allkirja andmise kohustuste täitmine.

3. Kõik toimingud ametnikud, mis on seotud elektroonilise dokumendihaldussüsteemiga ((elektroonilise dokumendihaldussüsteemi nimi)) selle süsteemiga seoses korraldab rangelt kooskõlas kehtiva Sertifitseerimiskeskuse reglemendi ja võtmedokumentide käitlemise reeglite juhendi nõuetega. föderaalse osariigi institutsiooni "Pjatigorsk GN" elektrooniline digitaalallkiri.

4. Jätan endale kontrolli selle korralduse täitmise üle.

Direktor ((allkiri)) ((direktori täisnimi))

Digiallkirja peamine omanik on tavaliselt direktor või tema asetäitja.